Le vice-amiral Coustillière se fiche des backdoors

La nomination du vice-amiral Coustillière comme DGSI[1] du MINDEF est mal passée auprès de certains experts français de la cybersécurité. En cause : une déclaration datant d’un an dans laquelle le gradé déclare que les principales failles de sécurité ne viennent pas des portes dérobées[2] introduites dans les logiciels de Microsoft et qu’il « se fout de ce débat ».

Au-delà de son manque de subtilité, l’Amiral n’a peut-être pas tort. Dans le cadre de l’OTAN, nos systèmes militaires n’ont en théorie rien à craindre des américains, nos « amis ». Il est même plus utile que tous les pays alliés travaillent sur une base logicielle commune.

Si la souveraineté de la France intéresse tant les experts de la cybersécurité française, qu’ils demandent d’abord la sortie de l’OTAN, ils n’en seront que moins hypocrites.

Enzo Sandré

[1] Directeur général des systèmes d’information

[2] Failles de sécurité intentionnellement introduites par l’éditeur du logiciel, notamment sur demande de services de renseignement (NSA, CIA …)

Nouvelles subsidiarités : Quel est le rôle social des entreprises ?

L’entreprise au début de l’ère industrielle avait pour mission de fournir un bien ou un service de manière rentable. La main invisible du marché devait se charger de redistribuer les richesses, afin d’amener aux hommes bonheur et abondance. A l’époque il avait même été décrété que rien ne devait exister en dehors de l’entreprise, c’est dire si on y croyait. Adieu corporations, jurandes et autre reliquats d’une époque sombre. Le travailleur orphelin fut confié à sa marâtre : l’entreprise. Celle-ci devint le seul corps intermédiaire reconnu par la République.

ob_261c33_loi-le-chapelier2

Depuis, lorsque la société civile rencontre un problème, il est obligatoirement imputé à l’état ou aux entreprises, seuls corps sociaux significatifs. L’état répondra souvent par des lois qui vont s’accumuler. L’inflation législative va créer de nouveaux rôles à l’entreprise, pour lesquels elle n’est souvent pas outillée. A l’entreprise moderne, on demande d’être sobre en ressources, de ne pas polluer, de respecter les droits des animaux, d’insérer les personnes en difficulté, de ne pas discriminer les personnes transgenres issues de la diversité, de ne pas réduire ses salariés en esclavage et de ne pas trop escroquer ses clients, tout en restant rentable, rien que cela ! Tous ces rôles, autrefois assumés par des corps intermédiaires spécialisés, se retrouvent désormais dans l’indigeste notion de « Responsabilité sociétale des entreprises ».

L’entreprise n’a pas vocation à être l’avocat de la nature, la protectrice de la veuve intérimaire et du stagiaire orphelin ou la garante des règles de l’art. Son rôle est de produire de la richesse. L’état se fourvoie lorsqu’il greffe artificiellement des rôles sociaux à l’entreprise : elle cherchera toujours à les esquiver. L’entreprise doit avoir des responsabilités, mais elle ne saurait avoir un autre rôle que la création de richesse.

Les rôles sociaux doivent être joués par des corps intermédiaires dont l’intérêt intrinsèque est de les assumer, par exemple les corporations, les syndicats ou les corps territoriaux. Ces corps ne doivent surtout pas tirer leur pouvoir et leur légitimité d’une patente étatique, mais des personnes qui les composent. Ce sont les frictions entre ces corps intermédiaires arbitrées subsidiairement par le pouvoir politique, qui doivent définir les règles.

1155908_code-du-travail-pour-que-la-reforme-fonctionne-web-tete-021327785646_660x352p

En détruisant les corps intermédiaires, les libéraux ont créé une bombe à retardement : la société ne cesse pas d’avoir des revendications et faute d’exutoire, c’est l’entreprise qui doit y faire face. L’entreprise doit redevenir un corps social comme un autre si elle ne veut pas couler sous le poids des rôles artificiels que la société lui attribue. Son rôle privilégié en fait la cible des demandes les plus légitimes, comme les plus illégitimes. Le millefeuille règlementaire qui en résulte la tue.

Enzo Sandré

Éric Delbecque : Idéologie sécuritaire et société de surveillance

Nous sommes tous Big Brother ! C’est l’audacieuse thèse d’Éric Delbecque développée dans son dernier essai : Idéologie sécuritaire et société de surveillance.

Il n’y a pas selon l’auteur d’idéologie sécuritaire à proprement parler, portée par une poignée d’idéologues à la tête de l’État. Pour lui, le problème est plus profond : la mort de l’idée de Progrès, énergie vitale des sociétés occidentales depuis les Lumières, a plongé les Occidentaux dans un malaise profond. Sans futur, sans projet fédérateur, les Occidentaux se replient sur eux-mêmes et forment une société de défiance permanente.

La peur dans la société du spectacle

L’auteur commence par un constat : le monde n’est pas plus violent aujourd’hui qu’hier, mais la violence a changé de forme. On peut dire sans risque que le niveau de violence des sociétés européennes a diminué depuis deux siècles. En revanche ça n’est pas le cas dans le reste de monde. De plus, des foyers d’ultra violence ont émergé, laissant croire à un ensauvagement généralisé.

Le plus grand changement du XXème siècle est la diminution des violences entre États. Lors d’une guerre, les camps sont clairement définis et l’attention est focalisée sur l’ennemi du dehors. L’ennemi commun soude les communautés. En temps de paix prolongée comme actuellement, la violence du quotidien monopolise les esprits. L’ennemi n’est plus en face : il est potentiellement partout. Le paradoxe de Tocqueville vient renforcer cette peur de l’ennemi intérieur : moins il y a de violence dans une société, moins la violence résiduelle est tolérée.

À cela viennent s’ajouter les exigences de la société capitaliste : il faut une population aussi obéissante dans le travail que dans la consommation. Nous vivons dans une sorte Meilleur des mondes qui se serait mélangé à un 1984 orwellien. Le soma qu’est l’hédonisme ne suffit pas à contrôler les populations, il faut également instrumentaliser la peur, en faire un spectacle au sens où l’entend Guy Debord. Désormais le crime est médiatisé, scénarisé afin de divertir. La boucle de la décadence est lancée : le plaisir conjure l’angoisse, la violence-spectacle la ramène. Si cela peut en plus faire les affaires d’un business de la sécurité, c’est encore mieux.

Sortir de cette boucle nécessite une stratégie que seul le politique est apte à proposer. Or le politique est lui aussi embourbé dans les conséquences de la mort du Progrès.

La putréfaction sécuritaire du politique

Le clivage droite-gauche est devenu illisible, faute de clivage fort, nous dit l’auteur. Plus rien ne distingue la gauche de la droite : cette dernière s’est complètement ralliée à l’idée de Progrès, au système capitaliste, à la République et à la laïcité. Seuls les extrêmes tirent leur épingle du jeu, en gardant des bribes des clivages qui, autrefois, définissaient la gauche et la droite.

Second constat : un certain malaise démocratique. L’auteur dresse un tableau quasi-maurrassien de la république actuelle : les politiques sont impuissants, ils ne représentent personne ; les français sont désunis par une guerre permanente entre les partis ; les luttes partisanes obligent à prendre des positions radicales au détriment des nuances constructives ; la moindre prise de position hétérodoxe change le débat en Procès de Moscou ; l’électoralisme pousse les dirigeants politiques au cynisme ; il n’y a plus de chef d’État à la tête du pays mais un chef de parti ; des élites (pays légal) dirigent un peuple (pays réel) sans avoir aucune idée de ses préoccupations ; les élections interdisent toute projection dans le temps long, pourtant apanage du politique.

Bref, le politique en France est bien malade. Les maux qui l’accablent ont l’effet dévastateur d’ôter tout espoir à un peuple déjà abattu par la mort du Progrès. La société devient encore plus inquiète et craint des temps difficiles. De telles périodes dans l’histoire ont toujours fait émerger des boucs émissaires, des ennemis de l’intérieur qu’il convient de traquer.

Il n’y a pas d’idéologie sécuritaire soutient Éric Delbecque. La société de surveillance n’est que le miroir de notre propre méfiance collective. Les mêmes causes à une époque technologiquement moins avancée avaient provoqué la chasse aux sorcières, folie collective où de petits juges laïcs brûlaient les malheureuses désignées comme boucs émissaires. Aujourd’hui la société a remplacé le bûcher ponctuel par des caméras omniprésentes. Tout le monde est suspect, tout le monde doit être surveillé.

Retrouver du sens ?

L’auteur appelle les sociétés occidentales, la France en particulier, à retrouver du sens grâce à un projet fédérateur. A la fin de cet essai fortement influencé par les non-conformistes des années 30 (Mounier, Maulnier, Aron), plus particulièrement par la Jeune Droite, l’auteur appelle la France au relèvement. Il ne souhaite pas plus le retour du progressisme béat, appelé par Michéa « Complexe d’Orphée », que celui d’un conservatisme poussiéreux comme le XIXème en eût le secret.

Éric Delbecque souhaite l’avènement d’une troisième voie, entre progressisme et conservatisme, un système politique capable d’avancer, sans pour autant se précipiter. Un système ayant les reins assez solides pour prendre son temps. Il souhaite surtout un souffle, un projet national capable de fédérer les Français et de les sortir de la dépression nationale.

L’auteur ne précise hélas pas quel pourrait être un tel système, ce qui pourrait être un excellent sujet pour un prochain ouvrage. Vu la pertinence de celui-ci, nous l’attendons avec impatience.

Enzo Sandré

Qu’est-ce que l’uberisation ?

On désigne par Uberisation l’attaque frontale des marchés de services par de nouveaux acteurs utilisant à leur avantage les possibilités du numérique. Le mot vient d’Uber, nom d’une ambitieuse entreprise américaine, qui a l’ambition de payer des particuliers pour transporter tout ce qui peut l’être en milieu urbain. Uber a créé le buzz en affrontant les taxis, profession traditionnelle assurant le transport de personnes. Ces frictions mondiales et bien souvent violentes ont fait une immense publicité pour l’entreprise.

Un phénomène global post-salarial

Les taxis ne sont pas les seuls menacés par des entreprises de type Uber. L’uberisation concerne tous les secteurs des services : graphistes, avocats, hôtels, banques, etc.
L’uberisation est une disruption qui concerne toutes les professions de services, d’une intensité égale à l’arrivée des machines dans l’industrie. Le travail de management est confié à des algorithmes qui désormais font le lien entre le top management et les « exécutants ». Nous appelons volontairement les personnes en bas de la hiérarchie « exécutants » car ceux-ci ne sont plus des salariés, mais des indépendants, voire des particuliers lorsque la législation le permet (UberPOP).

Pour autant a-t-on atteint le rêve marxiste d’un producteur autonome ? Absolument pas.

La nature du lien entre l’entreprise et le travailleur est changée, de la même manière que le salariat la changea par le passé. Nous étions à l’ère préindustrielle sur un tissu organique d’entreprises artisanales décentralisées. La révolution industrielle a brisé les corporations et fait du salariat la norme, le modèle entrepreneurial et devenu un modèle hiérarchique. L’automatisation croissante, allant avec le numérique jusqu’aux tâches managériales, permet l’émergence d’un modèle mécanique. Celui-ci consiste en un donneur d’ordres, commandant par machines interposées une myriade d’individus avec lesquelles il n’a aucune relation humaine. Ces individus n’ont aucune compétence particulière et sont comme des caractères d’imprimerie, spécialisés mais interchangeables.

Le lien juridique entre le donneur d’ordres et l’exécutant est différent du lien salarial. Le lien salarial est un lien fort, impliquant une certaine responsabilité de l’entreprise pour les actes de son salarié. Le salariat implique également un partage des risques de l’activité entre le salarié et l’entreprise.

Dans le système uberisé, le donneur d’ordre partage les bénéfices mais peu les risques. Chez Uber par exemple, la voiture est la propriété du conducteur qui doit l’assurer en son nom propre. En cas d’accident, l’entreprise ne participera aucunement aux frais de réparation.
S’il n’y a pas de lien salarial, il n’y a pas de licenciement. Radier un conducteur chez Uber revient à ôter une ligne dans une base de données, sans possibilité de recours pour l’exécutant. Les conditions de la sécurité de l’emploi ne sont plus assurées.
A l’inverse, l’exécutant n’est plus obligé de travailler pour un seul employeur. Il peut tirer une partie de sa subsistance de chaque employeur pour lequel il travaille. Nous assistons à une mercenarisation de l’économie, où l’employeur n’est plus obligé d’assurer seul un salaire permettant la subsistance de ses subordonnés, car le subordonné est libre de travailler pour plusieurs employeurs.

Le rapport de forces social entre le producteur et le consommateur, déjà défavorable depuis la fin des corps intermédiaires, penche définitivement en faveur d’un client-roi, bien content de l’uberisation des professions autres que la sienne.

La stratégie d’uberisation

La stratégie de ces entreprises est grossière mais diablement efficace car elle exploite les faiblesses de la division des pouvoirs en démocratie. Il s’agit d’une stratégie cyclique, visant à faire du business dans un intervalle de temps délimité par l’arrivée de l’entreprise dans un secteur et l’application réelle de la nouvelle réglementation. A la fin de chaque cycle, l’entreprise parie sur l’innovation pour changer de créneau et ainsi esquiver perpétuellement la loi.
L’appareil étatique est ainsi toujours en position de réaction face à une entreprise qui crée ses propres marchés. L’enjeu pour l’entreprise est de faire durer le plus longtemps possible cette posture de réaction de l’état. La tactique de ces entreprises est toujours grossièrement la même : exploiter les failles des régimes parlementaires. Nous pouvons observer quatre phase dans chaque cycle, chacune correspondant à l’un des quatre pouvoirs des démocraties modernes :

  1. Phase médiatique : conquête d’une opinion ou, pour un secteur donné, les gens de métier lésés sont en minorité face à la masse des consommateurs. Ces consommateurs, en majorité des employés du tertiaire sont incapables de penser que demain, l’uberisation touchera certainement leur secteur.
  2. Désobéissance face à l’exécutif : l’entreprise entre sur le marché, pariant sur l’incapacité de l’exécutif à prendre une décision, faute de légitimité. L’exécutif, tenu par un parti, est très souvent moins populaire que l’entreprise. Sans loi, votée par le parlement, le gouvernement n’agira pas pour ne pas risquer de s’attirer les foudres des électeurs.
    Les corps constitués et les entreprises traditionnelles ne peuvent pas se battre, à cause du flou juridique.
  3. Lobbying législatif : Une fois l’affaire arrivée aux chambres, l’entreprise utilise les affrontements entre partis (souvent entre sociaux-démocrates et libéraux) pour ralentir le processus législatif. Les majorités absolues étant rares, le texte de loi doit être consensuel et inoffensif pour passer au vote. L’entreprise se débrouille pour neutraliser les articles les plus dangereux.
  4. Blocage judiciaire : Lorsque la loi, même consensuelle et molle, est passée, l’entreprise commence à la contester en utilisant tous les recours administratifs et juridiques possibles. En France, Uber a utilisé les Questions Prioritaires de Constitutionnalité (QPC), les recours au Conseil d’État, etc…
    Le but n’est pas de gagner, mais de faire perdurer l’activité controversée le plus longtemps possible. Cette phase peut durer de nombreuses années, le labyrinthe judiciaire de certains pays étant particulièrement vaste.uberisation

Chaque nouvelle phase vient s’ajouter aux précédentes et ne les remplace pas. Une fois la loi votée, l’entreprise continue son lobbying, notamment pour faire voter des législations contradictoires, abrogatives ou inapplicables. La guerre médiatique est permanente afin de maintenir la pression sur l’état : hors des projecteurs, de telles entreprises pourraient être balayées par décret ou par simple répression policière.

Tous ces efforts n’ont qu’un but : gripper la machine d’état suffisamment longtemps pour permettre à l’entreprise de sauter dans le wagon suivant du train de l’innovation, laissant gouvernant et procureurs en arrière.

Les systèmes législatifs, dont l’impératif est d’assurer un cadre légal stable, donc lent à évoluer, ne suivent pas face à «la nature supranationale de l’Internet sur l’enchevêtrement des lois et réglementations qui entravent l’innovation» (sic).

Pour aller plus loin

COORNAERT Emile – Les corporations en France avant 1789

BERGER Claude – En finir avec le salariat, pour une société du partage

Compte-rendu de la conférence : Pourquoi la puissance ?

Vendredi 9 octobre dernier, l’École de Guerre Économique et la revue Conflits démarraient un cycle de conférences sur la puissance. Le premier volet avait pour problématique « Pourquoi la Puissance ? ». L’intervenant, Gérard Chaliand est un géo-stratège, spécialiste de la guérilla et du terrorisme. Il nous a livré son analyse des grands conflits géopolitiques actuels, tout en gardant la puissance comme fil rouge. Résumé.

Gérard Chaliand

Puissance est un mot tabou dans le vocabulaire français. Sous prétexte que certains en ont abusé par le passé, nous serions condamnés, tels des feuilles mortes, à nous laisser emporter par le vent ! Car c’est bien de cela qu’il s’agit. Pendant que la France détruit sa puissance, d’autres font usage de la leur et abusent de notre faiblesse pour faire primer leurs intérêts chez nous. Perdre son rang parmi les puissances n’est pas anodin, un peuple qui refuse d’être puissant est condamné à perdre son influence puis à voir sa population s’appauvrir – en attendant la servitude.

L’Histoire regorge de puissances déclinantes, ayant perdu toute influence jusque chez elles. La Perse, la Chine, l’Inde ou la Turquie ne sont pas des émergents mais bien de ré-émergents, souligne le conférencier. La puissance n’est pas l’apanage des grands, qui peuvent être gênés ou rattrapés par de plus petits ensembles. La pugnacité compte plus que la taille disait le stratège hindou Kautilya, auteur du traité Arthashastra.

Aujourd’hui la France doit retrouver sa puissance, non seulement pour mettre fin au règne de l’étranger, mais également pour combattre la finance apatride, qui se verrait bien Calife à la place du Calife, décidant même de ce qui est souverain. L’intervenant a clos son propos en égrenant une liste de blocages imputables au calendrier politique : Obama prisonnier de ses promesses électorales sur la Syrie ou Hollande incapable d’assumer une guerre auprès de son électorat. Décidément, la démocratie a du mal avec la puissance : Les échéances électorales agissent comme un couperet sur une politique étrangère déjà bien falote.

La prochaine conférence du cycle « Puissance 21 » aura pour problématique « Qui détient la puissance dans le monde ? » par Pascal Gauchon, directeur de la revue Conflits. Plus d’informations sur le site de l’École de Guerre Économique (ege.fr).

Faille ou porte dérobée : une confusion bien commode

Dans le même temps que Snowden ou l’affaire Gemalto nous révélaient l’emprise de la NSA sur le monde numérique, de nouvelles failles de grande ampleur (Heartbleed, FREAK, POODLE) venaient remettre en cause des briques fondamentales de la cybersécurité.

Porte dérobéeUne faille est, par définition, un vice involontaire de conception. Or dans de nombreuses affaires récentes, il est avéré que la « faille » a été introduite volontairement dans le logiciel incriminé. Cette pratique, porte le nom de « porte dérobée », « backdoor » en anglais. Elle permet à un tiers de contourner les protections d’un logiciel, avec la complicité de l’éditeur.

Une faille peut égratigner une relation de confiance, surtout lorsqu’elle tarde à être corrigée. Elle reste néanmoins une erreur humaine tout à fait normale. Une porte dérobée est bien pire. Elle trahit la malhonnêteté manifeste de l’éditeur, ce qui annihile toute possibilité de confiance, sève de la sécurité. Rien ne prouve qu’une porte dérobée, supprimée avec mille excuses, n’aie pas simplement été cachée ailleurs. D’où l’intérêt pour une entreprise de déclarer comme « faille », toute porte dérobée pas trop flagrante. Une maniére de travestir la malhonnêteté en erreur humaine, ce qui est bien commode.

Les entreprises françaises sont bien peu au fait des dangers des portes dérobées. Elles accordent bien souvent une confiance absolue à des logiciels propriétaires (à « recette » secrète), appartenant à des éditeurs étrangers. Ce qui peut représenter de potentielles fuites de données sensibles vers des pays concurrents.

Cybersécurité : promouvoir la création française

logo-du-fic-2015Le septième Forum international de la cybersécurité (FIC) vient de se tenir à Lille. Il est à la fois le relais et la sonde de la stratégie française en matière de sécurité des systèmes d’information. Cette manifestation étantétroitement liée à l’État, le discours d’ouverture a porté, sans surprise, sur la lutte contre le “cyberdjihadisme” et le renforcement de la surveillance. Ce discours anxiogène a, hélas, masqué le véritable intérêt du FIC : les dizaines de PME françaises et européennes venues nouer des liens entre elles et présenter leurs innovations. Si beaucoup n’ont fait qu’industrialiser des technologies méconnues venues du monde du logiciel libre, quelques acteurs ont su proposer aux entreprises des services de pointe à forte valeur ajoutée. Trois innovations ont retenu notre attention. La première est signée AriadNext, startup rennaise créatrice d’un service de validation en temps réel de documents officiels (passeports, RIB…). Leur pro-
duit, développé en partenariat avec l’administration, permet une sécurisation des souscriptions et une réduction du nombre de fraudes.

Capgemini tend un piège aux pirates

La deuxième est le système d’authentification de la société GenMSecure. Celle-ci a bâti une application ergonomique, remplaçant à la fois le traditionnel identifiant-mot de passe et les codes de validation par SMS pour toutes les transactions sensibles. Lorsqu’une opération requiert l’autorisation de l’utilisateur, celui-ci la confirme avec son téléphone, de manière sécurisée, par le biais d’un code unique. Citons enfin Capgemini, pour son positionnement sur le marché embryonnaire mais prometteur des honeypots. Un honeypot est un piège destiné aux cyberattaquants : s’il est invisible pour l’utilisateur normal, il attire dans un piège celui qui cherche à déjouer les mesures de sécurité. Quand un attaquant tente de s’introduire dans ce piège, il est automatiquement banni. Ce septième FIC s’est donc montré très positif. Plus d’une centaine d’exposants, des milliers de visiteurs et un secteur inventif.

Si le marché européen n’est rien par rapport au géant américain, le développement d’une expertise “locale” est capital dans une optique d’indépendance stratégique. Laisser les Américains ou toute autre puissance avoir pour clients des entreprises françaises revient à leur offrir l’accès à nos données… Le développement et la préservation d’une expertise française est en ce sens une priorité stratégique majeure.